Important Certaines versions de Microsoft Windows ont atteint la fin de leur support. Notez que certaines versions de Windows peuvent être prises en charge au-delà de la date de fin du dernier système d'exploitation lorsque des mises à jour de sécurité étendues (ESU) sont disponibles. Consultez FAQ cycle de vie – Mises à jour de sécurité étendues pour une liste des produits proposant des mises à jour de sécurité étendues.
|
Modifier la date |
Modifier la description |
|
1er août 2024 |
|
|
5 août 2024 |
|
|
6 août 2024 |
|
Contents
Résumé
Les mises à jour Windows en date du 9 juillet 2024 ou ultérieurement traitent d’une faille de sécurité dans le protocole RADIUS (Remote Authentication Dial-In User Service) lié aux problèmes de collision MD5. En raison de la faiblesse des contrôles d'intégrité de MD5, un pirate peut altérer les paquets pour obtenir un accès non autorisé. La vulnérabilité MD5 rend le trafic RADIUS basé sur le protocole UDP (User Datagram Protocol) sur Internet non sécurisé contre la falsification ou la modification des paquets pendant le transit.
Pour plus d'informations sur cette vulnérabilité, voir CVE-2024-3596 et le livre blanc Attaques de collision RADIUS ET MD5.
REMARQUE Cette vulnérabilité nécessite un accès physique au réseau RADIUS et au serveur NPS (Network Policy Serveur). Par conséquent, les clients qui ont sécurisé leurs réseaux RADIUS ne sont pas vulnérables. En outre, la vulnérabilité ne s'applique pas lorsque la communication RADIUS s'effectue par l'intermédiaire d'un réseau privé virtuel.
Procédure à suivre
|
Pour protéger votre environnement, nous vous recommandons d'activer les configurations suivantes. Pour plus d'informations, voir la section Configurations.
|
Événements ajoutés par cette mise à jour
Pour plus d'informations, voir la section Configurations.
Remarque Ces ID d’événement sont ajoutés au serveur NPS par les mises à jour Windows en date du 9 juillet 2024 ou ultérieurement.
Le paquet Access-Request a été abandonné parce qu'il contenait l'attribut Proxy-State mais pas l'attribut Message-Authenticator. Envisagez de modifier le client RADIUS pour inclure l'attribut Message-Authenticator. Vous pouvez également ajouter une exception pour le client RADIUS en utilisant la configuration limitProxyState.
|
Journal des événements |
Système |
|
Type d’événement |
Error |
|
Source de l’événement |
NPS |
|
ID d’événement |
4418 |
|
Texte de l'événement |
Un message Access-Request a été reçu du client RADIUS <ip/name> contenant un attribut Proxy-State, mais il n'incluait pas d'attribut Message-Authenticator. Par conséquent, la demande a été abandonnée. L'attribut Message-Authenticator est obligatoire à des fins de sécurité. Voir https://support.microsoft.com/help/5040268 pour en savoir plus. |
Il s'agit d'un événement d'audit pour les paquets Access-Request sans l'attribut Message-Authenticator en présence de Proxy-State . Envisagez de modifier le client RADIUS pour inclure l'attribut Message-Authenticator. Le paquet RADIUS sera abandonné une fois que la configuration limitproxystate sera activée.
|
Journal des événements |
Système |
|
Type d’événement |
Avertissement |
|
Source de l’événement |
NPS |
|
ID d’événement |
4419 |
|
Texte de l'événement |
Un message Access-Request a été reçu du client RADIUS <ip/name> contenant un attribut Proxy-State, mais il n'incluait pas d'attribut Message-Authenticator. La demande est actuellement autorisée puisque le limitProxyState est configuré en mode Audit. Voir https://support.microsoft.com/help/5040268 pour en savoir plus. |
Il s'agit d'un événement d'audit pour les paquets de réponse RADIUS reçus sans l'attribut Message-Authenticator au niveau du proxy. Considérez la possibilité de changer le serveur RADIUS spécifié pour l'attribut Message-Authenticator. Le paquet RADIUS sera abandonné une fois que la configuration requiremsgauth sera activée.
|
Journal des événements |
Système |
|
Type d’événement |
Avertissement |
|
Source de l’événement |
NPS |
|
ID d’événement |
4420 |
|
Texte de l'événement |
Le proxy RADIUS a reçu une réponse du serveur <ip/name> avec un attribut Message-Authenticator manquant. La réponse est actuellement autorisée puisque requireMsgAuth est configuré en mode audit. Voir https://support.microsoft.com/help/5040268 pour en savoir plus. |
Cet événement est enregistré lors du démarrage du service lorsque les paramètres recommandés ne sont pas configurés. Considérez l'activation des paramètres si le réseau RADIUS n'est pas sécurisé. Pour les réseaux sécurisés, ces événements peuvent être ignorés.
|
Journal des événements |
Système |
|
Type d’événement |
Avertissement |
|
Source de l’événement |
NPS |
|
ID d’événement |
4421 |
|
Texte de l'événement |
La configuration RequireMsgAuth et/ou limitProxyState est en mode <Disable/Audit>. Ces paramètres doivent être configurés en mode Actif pour des raisons de sécurité. Voir https://support.microsoft.com/help/5040268 pour en savoir plus. |
Configurations
Cette configuration permet au proxy NPS de commencer à envoyer l'attribut Message-Authenticator dans tous les paquets Access-Request. Pour activer cette configuration, utilisez l'une des méthodes suivantes.
Méthode 1 : Utiliser la console de gestion Microsoft (MMC) des SNP
Pour utiliser la MMC NPS, procédez comme suit :
-
Ouvrez l'interface utilisateur NPS sur le serveur.
-
Ouvrez les groupes de serveurs Radius distants .
-
Sélectionnez Radius Server .
-
Accédez à Authentification/Comptabilité.
-
Cliquez pour cocher la case La demande doit contenir l'attribut Message-Authenticator.
Méthode 2 : Utiliser la commande netsh
Pour utiliser netsh , exécutez la commande suivante :
netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes
Pour plus d'informations, voir Commandes de groupe de serveurs RADIUS distants .
Cette configuration exige l'attribut Message-Authenticator dans tous les messages Access-Request et laisse tomber le paquet en cas d'absence.
Méthode 1 : Utiliser la console de gestion Microsoft (MMC) des SNP
Pour utiliser la MMC NPS, procédez comme suit :
-
Ouvrez l'interface utilisateur NPS sur le serveur.
-
Ouvrir les clients Radius .
-
Sélectionnez Client Radius.
-
Accédez à Paramètres avancés.
-
Cliquez pour cocher la case Les messages de demande Access-Request doivent contenir l'attribut message-authenticator.
Pour plus d'informations, voir Configuration des clients RADIUS .
Méthode 2 : Utiliser la commande netsh
Pour utiliser netsh , exécutez la commande suivante :
netsh nps set client name = <client name> requireauthattrib = yes
Pour plus d'informations, voir Commandes de groupe de serveurs RADIUS distants .
Cette configuration permet au serveur NPS d'abandonner les paquets Access-Request potentiellement vulnérables qui contiennent un attribut Proxy-State, mais pas d'attribut Message-Authenticator. Cette configuration prend en charge trois modes :
-
Audit
-
Activer
-
Désactiver
En mode audit, un événement d'avertissement (ID d'événement : 4419) est enregistré, mais la demande est toujours traitée. Utilisez ce mode pour identifier les entités non conformes qui envoient les requêtes.
Utilisez la commande netsh pour configurer, activer et ajouter une exception si nécessaire.
-
Pour configurer les clients en mode audit, exécutez la commande suivante :
netsh nps set limitproxystate all = « audit »
-
Pour configurer les clients en mode Activé, exécutez la commande suivante :
netsh nps set limitproxystate all = « enable »
-
Pour ajouter une exception afin d'exclure un client de la validation limitProxystate, exécutez la commande suivante :
netsh nps set limitproxystate nom = <nom du client> exception = « Oui »
Cette configuration permet à NPS Proxy de laisser tomber les messages de réponse potentiellement vulnérables sans l'attribut Message-Authenticator. Cette configuration prend en charge trois modes :
-
Audit
-
Activer
-
Désactiver
En mode audit, un événement d'avertissement (ID d'événement : 4420) est enregistré, mais la demande est toujours traitée. Utilisez ce mode pour identifier les entités non conformes qui envoient les réponses.
Utilisez la commande netsh pour configurer, activer et ajouter une exception si nécessaire.
-
Pour configurer les serveurs en mode audit, exécutez la commande suivante :
netsh nps set requiremsgauthall = "audit"
-
Pour activer les configurations pour tous les serveurs, exécutez la commande suivante :
netsh nps set requiremsgauth all = "enable"
-
Pour ajouter une exception afin d'exclure un serveur de la validation requireauthmsg, exécutez la commande suivante :
netsh nps set requiremsgauth remoteservergroup = <nom du groupe du serveur distant> adresse = <adresse du serveur> exception = « yes »
Forum aux questions
Vérifiez les événements du module NPS pour les événements connexes. Considérez l'ajout d'exceptions ou d'ajustements de configuration pour les clients/serveurs concernés.
Non, les configurations présentées dans cet article sont recommandées pour les réseaux non sécurisés.
Références
Description de la terminologie standard utilisée pour décrire les mises à jour logicielles Microsoft
Les produits tiers mentionnés dans le présent article sont fabriqués par des sociétés indépendantes de Microsoft. Microsoft exclut toute garantie, implicite ou autre, concernant les performances ou la fiabilité de ces produits.
Microsoft fournit des informations de contact de sociétés tierces afin de vous aider à obtenir un support technique. Ces informations de contact peuvent être modifiées sans préavis. Microsoft ne garantit pas l’exactitude des informations concernant les sociétés tierces.
